Haku

FINE-75840-D8N5H1

Tulosta
Takaisin ratkaisuihin

Asianumero: FINE-75840-D8N5H1 (2025)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 21.11.2025

Miten vastuu asiakkaan käytössä olevilta tileiltä oikeudettomasti tehdyistä ja uudella pankin mobiilisovelluksella vahvistetuista tilisiirroista jakautuu asiakkaan ja pankin välillä? Verkkourkinta. Pankkitunnusten oikeudeton käyttö. Maksuvälineen haltijan törkeä huolimattomuus.

Tapahtumatiedot

Pankin selvityksen mukaan laitteelle Redmi Note 8 on ladattu 20.3.2025 klo 13:21 asiakkaan nimissä oleva pankin mobiilisovellus. Tämä on edellyttänyt asiakkaan pankkitunnusten käyttäjätunnusta, salasanaa ja tiettyä tunnuslukua tunnuslukutaulukosta sekä pankin asiakkaan puhelinnumeroon 20.3.2025 klo 13:19 tekstiviestitse lähettämää vahvistuskoodia. Tekstiviesti on ollut sisällöltään seuraavanlainen:
”TÄRKEÄÄ! [Pankin] verkkopankkitunnuksillasi ollaan ottamassa käyttöön [pankin mobiilisovellus]-sovellusta uudessa laitteessa. VARO HUIJAUKSIA! ÄLÄ ANNA VAHVISTUSKOODIA KENELLEKÄÄN TAI MILLEKÄÄN VERKKOSIVUILLE. HUIJAUSSIVUSTOT VOIVAT NÄYTTÄÄ [PANKIN] SIVUILTA. Koodia käytetään vain [pankin mobiilisovellus] -sovelluksen käyttöönottoon. Jos et ole itse ottamassa [pankin mobiilisovellusta] käyttöön, älä käytä koodia ja poista tämä viesti. Jos olet itse ottamassa käyttöön [pankin mobiilisovellusta], anna vahvistuskoodi 5105 laitteesi [pankin mobiilisovellus] -sovellukseen. Jos epäilet antaneesi verkkopankkitunnuksesi huijaussivulle, soita heti sulkupalveluun xx xxxx xxxx (pvm/mpm). Terveisin [Pankki]”

Em. pankin mobiilisovelluksella vahvistaen on asiakkaan käytössä olevilta tileiltä tehty oikeudettomia maksuja 22.3.2025 klo 1:45-6:30 välisenä aikana yhteisarvoltaan 110.680,00 euron arvosta. Asiakas on sulkenut pankkitunnuksensa sulkupalvelussa 22.3.2025 klo 20:25.

Asiakkaan valitus

Tapahtumaseloste

Asiakkaan ollessa lomamatkalla hänen pankkitileiltään on tehty tilisiirtoja ja luotolta on nostettu luottoa 22.3.2025 klo 01:45-06:30 välisenä aikana 110.680,00 euron edestä. Asiakas on saanut pankilta maksurajan muutokseen liittyvän tekstiviestin klo 2:06.

Asiakas on yrittänyt 22.3.2025 kirjautua pankin mobiilisovellukseen tuloksetta ja yrittänyt myös käyttää pankkikorttiaan ostoksiin 22.3.2025 tuloksetta. Asiakas on 22.3.2025 soittanut pankin sulkupalveluun ja asiakkaan pankkitunnukset on suljettu klo 20:25. Asiakkaan nimissä on avattu pankkiin kolme uutta pankkitiliä. Asiakas on poistanut tilit, koska ei ole itse niitä avannut.

Asiakas on Suomessa 30.3.2025 huomannut, että pankkisovelluksen laitteisiin on liitetty asiakkaalle tuntematon matkapuhelin "Redmi Note 8". Asiakas itse käyttää pankkisovellusta omalta laitteeltaan Samsung Galaxy A40. Asiakas on poistanut laitteen pankkisovelluksessa käytettävien laitteiden listalta.

Asiakas ei ole saanut pankin 20.3.2025 klo 13:19 lähettämää koodin sisältänyttä tekstiviestiä ja kiistää ladanneensa pankkisovelluksen uudelle laitteelle. Tekstiviestiä ei löydy asiakkaan puhelimesta eikä asiakkaan puhelimen lokitiedoista. Ainoa viesti, jonka asiakas on pankista saanut, on maksurajan muutokseen liittyvä tekstiviesti 22.3.2025.

Asiakas ei ole saanut tai avannut tekstiviestitse tai sähköpostitse saapuneita internetlinkkejä tai mennyt matkapuhelimellaan internetsivuille, joihin olisi pitänyt täyttää verkkopankkitunnustietoja. Asiakas kiistää luovuttaneensa verkkopankkitunnuksiaan ulkopuoliselle tai säilyttäneensä niitä huolimattomasti.

Asiakas ei säilytä verkkopankkitunnuksiaan paperilla eikä ole luovuttanut millään tavalla ulkomuistissa olevia verkkopankkitunnuksiaan ulkopuoliselle. Asiakas käyttää pankin mobiilisovellusta biometrisellä tunnistautumisella. Asiakas ei ole myöskään säilyttänyt puhelintaan matkallaan siten huolimattomasti, että ulkopuolisella olisi ollut mahdollisuus päästä käsiksi hänen puhelimeensa.

Kaikki tapahtumat on toteutettu keskellä yötä ja poikkeavat selkeästi asiakkaan tavanomaisesta maksuliikenteestä ja pankkipalveluiden käyttämisestä.

Asian arviointiin vaikuttavat säädökset

Asiakas viittaa maksupalvelulain 53, 54 62 §:in sekä rahanpesun ja terrorismin rahoittamisen estämisestä annetun lain 4 luvun 1 §:än, jonka mukaan pankin on ilmoitettava rahanpesun selvittelykeskukselle viipymättä epäilyttävästä liiketoimesta.

Epäilyttävällä liiketoimella tarkoitetaan esimerkiksi asiakkaan normaalista toiminnasta poikkeavia tai epätavallisia ja taloudelliselta arvoltaan poikkeuksellisia liiketoimia huomioiden asiakkaan tuntemistiedot. Epäilyttävänä voidaan pitää esimerkiksi sitä, että asiakas kierrättää rahoja eri tilien välillä tai että asiakas avaa usean tilin, joille tehdään useita pieniä talletuksia ja pyytää näiden varojen siirtämistä edelleen (HE 228/2016). Rahanpesun ja terrorismin rahoittamisen estämisestä annetun lain 4 luvun 5 §:n 1 momentin mukaan pankin on keskeytettävä liiketoimi, jos liiketoimi on epäilyttävä.

Arviointi

Asiakas on tuonut esiin, että on huolehtinut maksuvälineistä ja niiden turvatunnuksista huolellisesti eikä ole luovuttanut niitä ulkopuoliselle. Asiakas ei säilytä verkkopankkitunnuksiaan paperisina vaan muistaa ne ulkoa. Asiakas ei ole näppäillyt verkkopankkitunnuksiaan mihinkään internetsivuille tai kertonut niitä kenellekään tapahtuma-aikana 20.3.-22.3.2025. Asiakas on ilmoittanut pankille viipymättä, kun on havainnut, ettei hänellä ole pääsyä pankkisovellukseen eikä hän pysty käyttämään pankkikorttiaan.

Asiakkaan ei missään vaiheessa voida katsotun toimineen tahallisesti tai törkeän huolimattomasti maksuvälineistä tai niiden turvatunnuksista huolehtiessaan. Tahallisuus tai törkeä huolimattomuus ei täyty, joten pankki on vastuussa tapahtuneista tilisiirroista.

Asiakas katsoo, että vahinko on johtunut pankin puolelta olevasta puutteesta sovelluksen turvajärjestelmissä, mikä on mahdollistanut ulkopuolisen henkilön pääsyn hänen verkkopankkiinsa ilman asiakkaan omaa myötävaikutusta.

Pankilla on velvollisuus keskeyttää liiketoimi, mikäli se on epäilyttävä, ja poikkeaa asiakkaan tuntemistiedot huomioiden asiakakan aiemmasta toiminnasta. Pankki ei ole kuitenkaan keskeyttänyt asiakkaan tileillä tapahtuneita pieniä, mutta kokonaisuudessa suuren summan muodostavia siirtoja. Asian arvioinnissa on lisäksi otettava huomioon, että asiakkaalle on samanaikaisesti tilisiirtojen yhteydessä tai niitä varten luotu useita uusia pankkitilejä, joiden kautta tilisiirtoja on toteutettu, joten pankilla olisi ollut rahanpesun ja terrorismin rahoittamisen estämisestä annetun lain mukainen velvollisuus keskeyttää tilisiirrot.

Asiakas katsoo, että pankin olisi tullut reagoida asiakkaan tilillä tapahtuviin epätavanomaisiin tapahtumiin ja keskeyttää tapahtumat. Näiltä osin pankilla on vakavia puutteita turvajärjestelmissään, jotka mahdollistivat asiakkaan tilin tyhjäämisen keskellä yötä.

Pankki on vastuussa asiakkaalle aiheutuvasta vahingosta ja velvollinen korvaamaan asiakkaalle pankkitileiltä tehdyt siirrot 110.680,00 euroa.

Pankin vastine

Asiakas kiistää käyttäneensä pankin verkkopankkitunnuksia tai luovuttaneensa niitä kenellekään tai millekään sivustolle 20.3.2025. Hän on myös kiistänyt vastaanottaneensa puhelua, sähköpostia tai tekstiviestiä, jossa olisi pyydetty kirjautumaan pankkitunnuksilla. Hän on kertonut, että ei ole itse ollut lataamassa pankin mobiilisovellusta ja kiistää vastaanottaneensa pankin 20.3.2025 tekstiviestitse lähettämää vahvistuskoodia. Pankkitunnukset eivät hänen mukaansa ole myöskään kadonneet missään vaiheessa.

Kaikki reklamoidut tapahtumat on vahvistettu pankin mobiilisovelluksella. Sovellus, jolla tapahtumat on vahvistettu, on ladattu laitteelle Redmi Note 8, 20.3.2025 klo 13:21. Mobiilisovelluksen käyttöönottoon on tarvittu asiakkaan henkilökohtaiset verkkopankkitunnukset eli verkkopankin käyttäjätunnus, salasana ja koodi tunnuslukutaulukosta sekä tekstiviestillä lähetetty vahvistuskoodi. Tunnuslukutaulukko, jota mobiilisovelluksen käyttöönotossa on käytetty, on vain asiakkaan hallussa. Pankilla ei ole tunnuslukutaulukoita tai niiden sisältämiä tunnuksia, jotka sivullinen voisi saada haltuunsa.

Pankki on lähettänyt sovelluksen käyttöönottoon tarvittavan vahvistuskoodin asiakkaan puhelinnumeroon tekstiviestillä 20.3.2025 klo 13:19. Viestin sisältö on ollut:
TÄRKEÄÄ! [Pankin] verkkopankkitunnuksillasi ollaan ottamassa käyttöön [pankin mobiilisovellus]-sovellusta uudessa laitteessa. VARO HUIJAUKSIA! ÄLÄ ANNA VAHVISTUSKOODIA KENELLEKÄÄN TAI MILLEKÄÄN VERKKOSIVUILLE. HUIJAUSSIVUSTOT VOIVAT NÄYTTÄÄ [PANKIN] SIVUILTA. Koodia käytetään vain [pankin mobiilisovellus] -sovelluksen käyttöönottoon. Jos et ole itse ottamassa [pankin mobiilisovellusta] käyttöön, älä käytä koodia ja poista tämä viesti. Jos olet itse ottamassa käyttöön [pankin mobiilisovellusta], anna vahvistuskoodi 5105 laitteesi [pankin mobiilisovellus] -sovellukseen. Jos epäilet antaneesi verkkopankkitunnuksesi huijaussivulle, soita heti sulkupalveluun xx xxxx xxxx (pvm/mpm). Terveisin [Pankki]”

Asiakas on kiistänyt vastaanottaneensa tätä tekstiviestiä. Asiakas on sulkenut pankkitunnuksensa sulkupalvelussa 22.3.2025 klo 20:25. Reklamoidut maksut tehty 22.3.2025 klo 1:45-6:30 välillä, ennen sulkuilmoitusta.

Tapauksessa jää olennaisilta osin epäselväksi, miten pankin mobiilisovelluksen lataamiseen tarvitut asiakkaan henkilökohtaiset verkkopankkitunnukset ja tekstiviestillä lähetetty vahvistuskoodi ovat päätyneet ulkopuolisen haltuun. Pankki katsoo, että jos asiakas ei itse ole hyväksynyt reklamoituja tapahtumia, pankki ei pidä mitään muuta mahdollisena, kuin että hän on luovuttanut verkkopankkitunnuksensa ja tekstiviestillä saamansa vahvistuskoodin ulkopuoliselle tai hän on säilyttänyt tunnuksiaan ja puhelintaan, johon tekstiviestivahvistus on lähetetty, niin huolimattomasti, että ulkopuolinen on saanut ne haltuunsa hänen huomaamattaan. Näin ollen pankki katsoo, että asiakkaan toiminta on ollut pankin digitaalisten palvelujen yleisten ehtojen vastaista sekä törkeän huolimatonta maksupalvelulaissa tarkoitetulla tavalla.

Selvitykset

Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:

  • Tutkintailmoitus (Ilmoitusaika 31.3.2025 klo 09.49)
  • Pankin digitaalisia palveluja koskevat ehdot
  • Tiliotteita
  • Kuvakaappaus asiakkaan vastaanottamista pankin lähettämistä tekstiviesteistä, joista ensimmäinen koskee pankin mobiilisovelluksen käyttöönottoa ja toinen 22.3.2025 tilin maksurajan muuttamista.
  • Kuvakaappaus listasta, jossa näkyy laitteet, joilla on tai on ollut asiakkaan nimissä oleva pankin mobiilisovellus
  • Kuvakaappaus asiakkaan vastaanottamista pankin lähettämästä tekstiviestistä koskien pankkitunnusten käyttäjätunnuksen katsomista
  • Huomautus tilin ylityksestä 31.3.2025
  • Asiakkaan selaimen sivuhistoria 15.3.-22.3.2025

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko maksuvälineen oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 § 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1-2 momentin mukaan

Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.

Lain 54 §:n (Katoamisilmoitus.) 1 momentin mukaan

Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan

Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan 

Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.

Pankin digitaalisten palvelujen ja tunnistusvälineiden yleisten ehtojen (Pankkitunnusehdot) kohta, joka koskee asiakkaan vastuuta tunnistusvälineiden oikeudettomasta käytöstä maksuvälineenä vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.

Pankkitunnusehtojen Määritelmät -kohdan mukaan

Pankin tunnistusvälineitä ovat
· verkkopankkitunnukset, jotka koostuvat antamastamme käyttäjätunnuksesta, valitsemastasi henkilökohtaisesta salasanasta sekä tunnusluvusta, joka ilmenee tunnuslukutaulukosta.
· [Pankin mobiilisovelluksen] tunnistaminen, joka koostuu mobiililaitteeseen ladatusta sovelluksesta, valitsemastasi henkilökohtaisesta tunnusluvusta ja/tai biometrisestä tunnisteesta kuten sormenjäljestä tai kasvonpiirteistä. [Pankin mobiilisovelluksen] tunnistamisen voit ottaa käyttöösi [Pankin mobiilisovelluksessa].

Pankkitunnusehtojen Tunnistaminen [pankin] tunnistusvälineillä -kohdan mukaan

Tunnistusperiaatteemme ovat saatavilla verkkosivuillamme osoitteessa [pankki].fi ja asiakaspalvelupisteillämme.
Tunnistusvälineillämme voit tunnistautua myös kolmannen osapuolen palvelussa siten kuin tunnistuslaissa säädetään.
[…]

Pankkitunnusehtojen Tunnistusvälineitä koskevat velvollisuutesi -kohdan Tunnistusvälineiden säilyttäminen -alakohdan mukaan

Verkkopankkitunnukset ja laitteeseen ladattu [pankin mobiilisovelluksen] tunnistaminen ovat henkilökohtaisia. Niitä ei saa osittainkaan luovuttaa tai antaa tiedoksi sivulliselle henkilölle, vaikka kyseessä olisi perheenjäsen, eikä erilliselle sovellukselle tai palvelulle.
Tällä sopimuksella sitoudut säilyttämään tunnistusvälineitä huolellisesti ja varmistamaan säännöllisesti, että ne ovat tallessa. Et saa kirjoittaa verkkopankin tai [pankin mobiilisovelluksen] tunnuslukuasi muistiin helposti tunnistettavaan muotoon. Sitoudut myös säilyttämään verkkopankin käyttäjätunnuksen, mahdollisesti muistiin merkitsemäsi salasanan ja tunnusluvut sisältävät tulosteet erillään toisistaan siten, ettei kukaan voi yhdistää niitä toisiinsa.
Verkkopankkitunnusten eri osia ei siis saa säilyttää samassa paikassa, kuten käsilaukussa, lompakossa tai kotona samassa säilytyspaikassa.
Huomioi erityisesti seuraavat asiat:
· Et saa missään tilanteessa kertoa verkkopankkitunnuksia tai tekstiviestillä lähettämäämme vahvistuskoodia suullisesti sinulle tulleessa puhelussa, sähköpostissa tai muussa viestissä niitä kysyvälle.
· Et saa käyttää verkkopankkitunnuksia verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty sinulle sähköpostilla tai muulla sähköisellä tavalla.
Tarkista olosuhteiden vaatimalla tavalla säännöllisesti, että verkkopankkitunnusten osat tai [pankin mobiilisovelluksen] sisältävä laitteesi ovat tallessa.
Muiden ihmisten läsnäollessa suojaa käyttämäsi laite kädelläsi tai kehollasi, kun kirjaudut verkkopankkiin. Näin sivulliset eivät pääse näkemään, kun näppäilet verkkopankkitunnuksen tai [pankin mobiilisovelluksen] tunnusluvun.
Et saa kirjautua verkkopankkiin tai hyväksyä tunnistusvälineilläsi maksuja, jos olet luovuttanut laitteesi etäyhteydellä toisen hallintaan. Et saa käyttää verkkopankkitunnuksia laitteella, jossa on havaittu tai epäillään olevan haittaohjelma.
Sinulla on kuitenkin oikeus tunnistautua tunnistusvälineillämme maksupalvelulain mukaisiin ulkopuolisen palveluntarjoajan maksutoimeksiantopalveluihin tai tilitietopalveluihin.

Pankkitunnusehtojen Katoamisilmoituksen tekeminen -kohdan mukaan

Palveluiden asiattoman käytön estämiseksi sinun pitää ilmoittaa meille välittömästi, jos tunnistusvälineet tai niiden osa (verkkopankin salasana, tunnuslukutaulukko, [pankin mobiilisovelluksen] sisältävä laite tai [pankin mobiilisovelluksen] tunnusluku) on kadonnut tai on syytä epäillä sivullisen saattaneen saada ne haltuunsa tai tietoonsa.
Tee katoamisilmoitus ensisijaisesti 24 tuntia vuorokaudessa avoinna olevaan sulkupalveluun: […]

Asian arviointi

Tapahtumienkulku

Pankki on tapauksessa esittänyt järjestelmätietoihinsa perustuvan selvityksen tapahtumista ja siitä, mitä tietoja rikollisilla on täytynyt olla, jotta he ovat voineet aktivoida omalle laitteelleen asiakkaan nimissä olevan uuden pankin mobiilisovelluksen, jota käyttäen ko. tilisiirrot on tehty. Pankkilautakunnalla ei ole syytä epäillä pankin esittämän pankin järjestelmätietoihin perustuvan selvityksen paikkansa pitävyyttä.

Asiassa saadun selvityksen mukaan rikolliset ovat nyt riidanalaisella tavalla saaneet tietoonsa asiakkaan verkkopankkitunnusten käyttäjätunnuksen, salasanan ja tietyn luvun asiakkaan tunnuslukutaulukosta sekä pankin asiakkaalle 20.3.2025 klo 13:19 lähettämässä tekstiviestissä olleen vahvistuskoodin, joita käyttäen he ovat voineet aktivoida omalle laitteelleen asiakkaan nimissä olleen pankin mobiilisovelluksen.

Pankkilautakunnassa on käsitelty viime vuosina lukuisia erilaisia verkossa tapahtuneita verkkopankkitunnusten kalastelua ja oikeudetonta käyttöä koskevia tapauksia ja erityisesti myös sellaisia, joissa rikolliset ovat tämän tapauksen tavoin onnistuneet aktivoimaan omalle laitteelleen asiakkaan nimissä olevan pankin mobiilisovelluksen. Tyypillisesti näissä tapauksissa uhri on päätynyt esimerkiksi hakukoneen taikka rikollisten uhrille lähettämässä viestissä olleen linkin kautta asioimaan pankin, jonkin viranomaisen tai esimerkiksi kuljetusliikkeen verkkosivuilta näyttäville rikollisten luomille valesivuille, joiden kautta uhrin sivuille esimerkiksi kirjautumistarkoituksessa syöttämät tiedot päätyvät rikollisten tietoon.

Pankkilautakunnan käsittelemässä tapauksessa FINE-71529-W1F8J0 pankin mobiilisovelluksen käyttöönotto edellytti rikollisilta nyt käsiteltävänä olevan tapauksen tavoin asiakkaan pankkitunnustietojen lisäksi pankin tekstiviestitse asiakkaalle lähettämää aktivointikoodia. Kyseisessä tapauksessa asiakas oli hotelleja verkossa katsoessaan päätynyt rikollisten luomille valesivuille, joilla hän oli käyttänyt verkkopankkitunnuksiaan kirjautumistarkoituksessa. Valesivujen kautta saamillaan tiedoilla rikolliset olivat aktivoineet käyttöönsä pankin mobiilisovelluksen ja sovellusta käyttäen tehneet mm. oikeudettomia tilisiirtoja. Asiassa saadun selvityksen perusteella ja erityisesti pankin lähettämän pankin mobiilisovelluksen käyttöönoton edellyttämän vahvistuskoodin sisältäneen tekstiviestin sisältö huomioiden Pankkilautakunta katsoi asiakkaan syöttäneen pankin tekstiviestitse lähettämän koodin verkkosivuille mahdollisesti lukematta viestin sisältöä tai ainakin sen sisältöä menettelyssään huomioimatta ja asiakkaan menettelyn tämän johdosta osoittaneen maksupalvelulaissa tarkoitettu törkeää huolimattomuutta eikä lautakunta siten suosittanut asiassa hyvitystä.

Nyt käsiteltävänä olevassa tapauksessa asiakas kiistää asioineensa tapahtuma-aikaan millään verkkosivuilla pankkitunnuksiaan käyttäen, luovuttaneensa pankkitunnuksiaan tai puhelintaan kenenkään käyttöön, taikka saaneensa pankin hänen numeroonsa lähettämää pankin mobiilisovelluksen aktivointikoodin sisältänyttä tekstiviestiä. Asiakkaan käsityksen mukaan tapahtunut on johtunut pankin puolella olevasta puutteesta sovelluksen turvajärjestelmissä.

Pankkilautakunta katsoo, ettei sen ole asiassa saadun selvityksen perusteella mahdollista arvioida, ovatko asiassa rikollisille päätyneet ja tapahtuneen pankin mobiilisovelluksen aktivoimisen edellyttämät tiedot voineet päätyä asiakkaalta tekijöille muulla tavoin kuin asiakkaan omin aktiivisin toimin esimerkiksi rikollisten luomilla valesivuilla.

Asiakkaan kiistäessä itse käyttäneensä pankkitunnuksiaan tapahtuma-aikaan tai luovuttaneensa niitä ja puhelintaan jonkun toisen käyttöön Pankkilautakunta katsoo tapahtumien kulun jäävän asiassa esitetyn selvityksen perusteella olennaisilta osin epäselväksi. Pankkilautakunnan ei ole saadun selvityksen perusteella mahdollista luotettavasti arvioida, mitä tapauksessa on todennäköisimmin tapahtunut ja miten oikeudettomien maksutapahtumien toteuttamisen edellyttämät pankkitunnus- ja aktivointikooditiedot ovat voineet päätyä rikollisten tietoon, saati sitä, mikä on asiakkaan mahdollisesti huolimattoman menettelyn myötävaikutus tapahtumien kulkuun.

Pankin menettelystä

Asiakas on tapauksessa vedonnut vakaviin puutteisiin pankin turvajärjestelmissä ja siihen, että pankin olisi tullut havaita poikkeukselliset ja asiakkaan aiemmasta toiminnasta poikkeavat tapahtumat ja keskeyttää ko. tilisiirrot.

Maksupalvelusääntelyn perusteella pankeilla on oltava käytössään maksutapahtumien valvontamekanismit, joiden avulla ne voivat havaita oikeudettomat ja petolliset maksutapahtumat. Pankkilautakunta on ratkaisukäytännössään jo vakiintuneesti todennut, ettei tällä velvollisuudella kuitenkaan ole suoraa vaikutusta pankin ja asiakkaan väliseen vastuunjakoon maksuvälineen oikeudettoman käytön osalta. Pankkilautakunta katsoo siten, että pankki ei ole velvollinen korvaamaan asiakkaalle aiheutunutta vahinkoa yksinomaan sillä perusteella, ettei se ole estänyt ko. oikeudettomia tilisiirtoja niiden tekohetkellä.

Lopputulos

Pankkilautakunta katsoo, että pankki ei ole velvollinen korvaamaan asiakkaalle aiheutunutta vahinkoa yksinomaan sillä perusteella, ettei se ole estänyt ko. oikeudettomia tilisiirtoja niiden tekohetkellä. Näin ollen ratkaisevaa asiakkaan ja pankin välisen vastuunjaon kannalta on asiakkaan menettelyn arviointi maksupalvelulain vastuunjakosäännösten mukaisesti.

Pankkilautakunta katsoo, että tapauksessa esitetyn selvityksen perusteella tapahtumien kulku jää olennaisilta osin epäselväksi eikä lautakunta näin ollen pysty käytettävissään olevin keinoin luotettavasti ratkaisemaan asiakkaan ja pankin välisen vastuunjaon kannalta ratkaisevaa kysymystä siitä, onko asiakkaan pankkitunnusten oikeudeton käyttö johtunut asiakkaan huolimattomuudesta ja onko asiakkaan mahdollinen huolimattomuus törkeää.

Ohjesääntönsä mukaan Pankkilautakunta voi erityisestä syystä päättää, ettei se anna ratkaisusuositusta sen käsiteltäväksi saatetusta asiasta. Keskeisen tapahtumainkulun jäädessä edellä todetuin tavoin epäselväksi Pankkilautakunta päättää, ettei se anna ratkaisusuositusta tässä tapauksessa.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää
Sihteeri Hidén

Jäsenet:
Atrila
Piilo
Punakivi
Tervonen

Tulosta
 Takaisin ratkaisuihin

Etkö löytänyt etsimääsi?

Ota yhteyttä
Usein kysyttyjä kysymyksiä